网络防火墙的种类有很多,但你的电脑适宜用哪种呢?假设须要集木马防火墙和个别防火墙于一体的类型,无妨试试笔者最近经常使用的“风波防火墙”。它岂但包含了数据包阻拦、进程检测等网络防火墙的惯例配置,还首创了很多配置,比如“数据包特色码阻拦”、“检测暗藏进程和服务”、“明码包全配置”等。它们的产生将进一步包全电脑的安保运转,防止恶意程序的侵扰,上方咱们就来看看它共性化的防护配置。一、显示远程物理地址如今的网络防火墙都有一项配置,就是对要求访问互联网的程序进程启动揭示,征询用户能否准许该进程访问网络,风波防火墙人造也不缺这项配置。它岂但可以衔接进程的文件称号、文件版本、文件门路等,还可以显示出该启动经常使用的网络协定,以及显示出衔接的远程IP地址和相对应的物理地址,让用户分明地了解该衔接状况,从而启动判别。一天当笔者和一位网友聊天时,突然屏幕弹出一个揭示窗口(如图1)。从图中咱们可以分明地看到,一个IE阅读器的进程恳求访问网络。IE阅读器访问网络并没有什么奇异的,然而它衔接的地址“四川省德阳市”,以及端口“8000”惹起了我的留意。咱们知道,阅读器最经常出现的衔接端口是80端口,8000端口最经常出现的是QQ服务端经常使用的端口,愈加奇异的是我并没有经常使用IE阅读器。无须置疑,我的IE阅读器被恶意程序“绑架”了。二、数据包特色码阻拦当我正在揣摩IE阅读器被什么所挟持的时刻,风波防火墙在义务栏的图标不停闪动,并弹出一个气球揭示(如图2),揭示用户发现“远程管理-灰鸽子 VIP 2005”,以及它的进程、对方IP和端口,并且智能对这些发送的数据启动阻拦。wWW.ItcOMputer.COm.CN经过对比发现这些消息和前面的消息齐全相反,这样我就可以必需IE阅读器是被灰鸽子木马所劫持了,由于灰鸽子木马经常使用了线程拔出技术,正好将服务端程序的进程拔出到了IE阅读器的进程之中。风波防火墙之所以能够启动如此准确的判别,是由于经常使用了共同的木马数据包特色码阻拦技术,木马程序一旦被列入病毒库,无论如何加壳伪装都能加以阻拦,由于这些都是该木马程序的基本特性。三、确定加壳程序能否运转确认是灰鸽子木马作怪后,马上运转金山毒霸的更新程序,预备将软件的病毒库更新到最新版本。可是当更新程序启动后,防火墙马上又弹出了一个揭示窗口(如图3),由于很多木马程序都启动了加壳处置,而风波防火墙全新智能的侦测、阻拦、征询已知加壳的程序的运转配置,能够让用户安保确定加壳程序的运转能否安保,防止木马程序的运转。由于该更新程序经过UPX加壳程序启动了加壳处置,所以防火墙雷同弹出了一个揭示窗口。四、检测暗藏进程和服务经常使用最新版本的金山毒霸对系统启动扫描,然而并没有检测出一个病毒文件,看来这个灰鸽子木马是刚刚颁布的最新版本,只要经过手工模式启动检测了。双击义务栏中的风波防火墙图标,弹出程序的操作主界面。点击“特洛伊检测”选项中的“进程查壳”命令,防火墙程序会智能对系统中以后经常使用的进程启动检测,同时还能检测出暗藏的进程,并且可以对进程启动定位、检查属性、中断进程等一系列操作。经过检测,发现系统中一共有26个进程,并且发现1个暗藏的进程。这个暗藏的进程会被防火墙白色高亮加以显示,而这个暗藏的进程正好就是被灰鸽子木马应用的IE阅读器进程(如图4)。选用这个被应用的进程,点击“中断选中进程”按钮即可完结它。上方咱们来检测木马的启动项,点击“系统启动项”中的“服务启动项”命令,由于在Windows XP系统中,灰鸽子木马是应用系统服务启动启动的。雷同,防火墙可以对暗藏的系统服务启动检测,使暗藏服务的木马无处暗藏、刹时浮现,并经过白色高亮启动显示。最终检测到一个暗藏的服务,正好就是灰鸽子木马的启动项,并且经过该服务所指的“门路”找到了木马的门路。可以看出,黑客将灰鸽子木马伪装成系统进程svchost.exe。选用这个木马的启动项服务,点击“删除选定”按钮将这个启动服务删除。而后依照门路所指,找到木马的服务端程序并删除,最终经过手工的模式肃清掉灰鸽子木马。五、其它配置除了上方检测木马时所经常使用的配置外,风波防火墙还包含其余很多低劣的配置,明码包全配置就是其中的一项。防火墙经过对WH_KEYBOARD、WH_JOURNALRECORD、WH_GETMESSAGE、SendMessage等罕用的钩子函数启动彻底地阻拦,防止木马程序经过键盘记载配置对用户的网银、网游等账户消息启动记载,进而被黑客所窃取,形成用户经济、精气上的多重损失。
© 版权声明